Partilhar via

Gestão de Ambientes e de Políticas DLP

  • Artigo

Assista a um passo a passo de como funciona o ambiente e o processo de solicitação de DLP.

Descrição do processo

Declaração de problema: Quando um projeto de desenvolvimento requer um novo Ambiente e os não-administradores são impedidos de criar Ambientes, a única maneira de os não-administradores acessarem novos Ambientes é que os administradores provisão o Ambiente e concedam permissões aos usuários. Os admins podem tornar-se o estrangulamento do desenvolvimento se o volume de procura de ambientes for elevado porque estão envolvidos múltiplos passos. Os novos ambientes também podem requerer novos conectores ou políticas DLP.

Solução: O processo abaixo pode ser usado por não-administradores para solicitar novos ambientes e alterações nas políticas de DLP para seus ambientes.

Processo de gestão do ambiente

Os programadores (não admins) podem:

  • Submeter pedidos para novos ambientes.
  • Submeter pedidos de políticas DLP a aplicar aos seus ambientes.

Os admins podem:

  • Aprovisione novos ambientes para programadores que utilizem a aplicação.
  • Veja como novos ambientes serão afetados pelas políticas de prevenção da perda de dados.
  • Aprovar ou rejeitar pedidos de políticas DLP.

Programador: Pedir um ambiente

Os programadores (não admins) podem pedir novos ambientes para os seus admins façam uma triagem.

  1. Abra a aplicação Criador – Pedido de Ambiente.

  2. Selecione + Novo

  3. No menu da lista de opções, escolha os conectores desejados que serão necessários no novo ambiente. Em seguida, selecione Seguinte. Escolher conectores

  4. Escolha as contas de utilizador que precisarão de acesso de administrador de ambiente. Escolher admins

  5. Forneça detalhes básicos sobre o ambiente desejado, incluindo o nome a apresentar, região, tipo, finalidade.

  6. Indique se o ambiente pode ser limpo automaticamente após um determinado período de tempo.

    1. Se sim, forneça uma duração (em dias) na lista pendente que aparece. Faça isto se precisar apenas do ambiente para um projeto de curto prazo.
    2. Se não, o ambiente não será eliminado automaticamente. Faça isto se precisar de manter o ambiente para um longo período de tempo.

  7. Indique se aprovisiona uma base de dados do Dataverse. Detalhes do ambiente

  8. Se for necessária uma base de dados (comutador=sim), forneça os valores de idioma e de moeda necessários. Opcionalmente, forneça um grupo de segurança para restringir o acesso ao ambiente. Escolher definições da base de dados

  9. Submeta o formulário quando tiver terminado clicando no botão Guardar.

📧 Será enviado um e-mail para notificar os administradores do CoE Starter Kit para analisar o novo pedido.

Veja qualquer um dos seus pedidos submetidos na aplicação de tela.

Ver pedidos

Admin: Aprovar ou negar um pedido de ambiente

Como admin, pode ver e fazer a triagem de pedidos para novos ambientes.

  1. Abra a aplicação de tela denominada Admin – Pedido de Ambiente.

  2. Veja os pedidos de criação de ambiente pendentes no ecrã principal.

    Nota

    Por predefinição, os pedidos pendentes são apresentados primeiro. Mude o filtro de estado de pedido utilizando a lista pendente no lado direito da fita.

  3. Selecione um pedido na tabela para ver mais detalhes. Selecionar pedidos

  4. Leia os detalhes pedidos para o novo ambiente:

    1. Informações de ambiente, justificação.

    2. Admins pedidos.

    3. Veja o grupo de segurança pedido ou adicione um se nenhum tiver sido selecionado.

    4. Conectores.

    5. Políticas afetadas.

    6. Adicione comentários sobre a decisão no painel Notas.

      Ver detalhes

    Nota

    Uma faixa no topo da página indica como o novo ambiente será afetado com base nas políticas existentes no inquilino. A análise de impacto mudará quando as políticas forem modificadas.

  5. Modificar as políticas de prevenção de perda de dados na tabela Políticas Afetadas clicando nas ações sugeridas (se houver alguma disponível). Ver ações

    Aviso

    Apenas certos tipos de políticas podem ser adicionados (ambientes ao nível da Organização que não são políticas do tipo "Todos os Ambientes").

  6. Selecione "Ver e modificar políticas" para ver todas as políticas e o seu impacto nos conectores pedidos. Pode adicionar ou remover políticas na lista de modificação que serão alteradas após a aprovação selecionando uma política e escolhendo as ações que aparecem na faixa. Ver ou modificar políticas DLP

  7. Selecione uma política e clique na ação Detalhes na faixa para ver o impacto nos conectores. Impacto da política

  8. Aprovar ou rejeitar o pedido na faixa superior esquerda. Aprovar ou rejeitar

Caminho aprovado

Uma vez aprovado o pedido, o ambiente será criado com as configurações pedidas. Aos utilizadores é-lhes concedido acesso de admin ao ambiente.

⏳ Validade

Se o ambiente tiver uma data de expiração, será automaticamente eliminado após a duração indicada. Os e-mails de aviso são enviados semanalmente aos admins para lembrá-los de que economizam trabalho no controlo de origens ou em outros locais fora do ambiente.

Se não for definida a expiração, o ambiente nunca será limpo automaticamente. O ambiente tem de ser eliminado manualmente no centro de administração do Power Platform.

Lógica de recomendação de DLP

A aplicação de administração utiliza a lógica abaixo para fornecer orientações sobre como configurar as políticas DLP para permitir conectores pedidos.

Matriz de decisão: Faixa de aviso

Este é a faixa exibida na aplicação de administração ao visualizar a página de detalhes do pedido.

Condição Nenhuma política se aplica ao ambiente As políticas existentes aplicam-se ao ambiente sem incluí-lo na lista de ambientes de qualquer política O ambiente será adicionado às políticas após a aprovação
Desbloqueado 🟡 Conectores não bloqueados ou restritos, mas nenhuma política proteger o ambiente. Adicione ambiente a, pelo menos, uma política para evitar a perda de dados. 🟢 Os conectores não são bloqueados ou restritos e o ambiente é coberto por pelo menos uma política existente. 🟢 Os conectores não são bloqueados e o ambiente será adicionado às políticas selecionadas após a aprovação da solicitação.
Bloqueado -- ⛔ Conectores bloqueados pelas configurações de política originais. Adicione ambiente às listas de ambiente de política existentes ou modifique as políticas no centro de administração do Power Platform para desbloquear conectores. ⛔ Conectores bloqueados pelas configurações de diretiva atuais. Adicione ambiente a políticas diferentes ou modifique as políticas no centro de administração do Power Platform para desbloquear conectores.
Restrito -- 🟡 Conectores restritos pelas configurações de política originais. Adicione ambiente às listas de ambientes da política existentes ou modifique as políticas no centro de administração do Power Platform para desbloquear conectores. 🟡 Conectores restritos pelas configurações de diretiva atuais. Adicione ambiente a políticas diferentes ou modifique as políticas no centro de administração do Power Platform para desbloquear conectores.

Matriz para ação recomendada com base na política e nos conectores pedidos. As colunas horizontais mostram cada tipo de política e as linhas verticais da matriz mostram o impacto que essa política tem nos conectores pedidos com base nas respetivas regras.

Impacto Todos os ambientes Excluir determinados ambientes Incluir vários ambientes
Não bloqueado ou restringido Não é necessária nenhuma ação.

Os conectores pedidos não são bloqueados por esta política. Este tipo de política abrangerá este novo ambiente quando criado, pelo que não são necessárias ações.		 Adicione a política se o novo ambiente não estiver coberto. Se estiver coberto, não é necessária qualquer ação. Os conectores pedidos não seriam bloqueados por esta política se adicionados à sua lista de ambientes. Adicione à lista desta política se este ambiente for adicionado a outra lista de política "Excluir certos ambientes" que está a afetar os conectores pedidos.
Bloqueado Desbloqueio permitiu conectores na definição da política no Centro de Administração do Power Platform.

⚠CUIDADO: alterar as políticas que afetam "Todos os ambientes" pode potencialmente afetar qualquer aplicativo de tela e fluxo de cloud no locatário. Confirme o impacto na ferramenta de Editor DLP.

Se as regras de conector desta política não puderem ser alteradas, pode abrir uma exceção para este novo ambiente alterando esta política para uma política do tipo "Excluir certos ambientes" no Centro de Administração do Power Platform. Encontre ou crie uma política do tipo "Vários ambientes" que permita aos conectores pedidos adicionar o ambiente. Volte a este registo de Aplicação de Admin de Pedido de Ambiente e adicione isto à lista de ambientes de ambas as políticas.		 Adicione a esta política ou desbloqueie os conectores bloqueados.

Se não houver outras políticas que cubram o ambiente, adicione-a a outra política existente ou nova política "Vários ambientes" que não bloqueie os conectores pedidos.		 Não adicione o novo ambiente a esta política.

O ambiente só precisa de ser adicionado a uma política do tipo "Vários ambientes" se não for coberta por outras políticas. Por exemplo, se não houver "Todas as políticas de ambiente" e o ambiente estiver a ser excluído de todas as políticas do tipo "Excluir, exceto ambientes", nenhuma política está a cobrir o ambiente.

Se não houver melhores políticas a adicionar este ambiente, considere atualizar os grupos de conector desta política ou criar uma nova política no Centro de Administração do Power Platform.
Restrito Coloque os conectores restritos no mesmo grupo na definição da política no Centro de Administração do Power Platform.

⚠CUIDADO: alterar as políticas do tipo "Todos os ambientes" pode potencialmente afetar qualquer aplicativo de tela e fluxo de cloud no locatário.

Se as regras de conector desta política não puderem ser alteradas, pode abrir uma exceção para este novo ambiente alterando esta política para uma política do tipo "Excluir certos ambientes" no Centro de Administração do Power Platform. Encontre ou crie uma política do tipo "Vários ambientes" que tenha os conectores pedidos no mesmo grupo. Volte a este registo de Aplicação de Admin de Pedido de Criação de Ambiente e adicione isto à lista de ambientes de ambas as políticas.		 Adicione o ambiente à lista de exceções desta política.

Se isto for adicionado à lista de exceções e não houver outras políticas que abranjam o ambiente, adicione-a a outra política "Vários ambientes" que não restringirá o(s) conector(es) pedido(s)aceitável(eis) ou criará outra política para cobrir os requisitos de segurança mais críticos.

Considere se é possível deixar de restringir os conectores pedidos aceitáveis atualizando esta política no centro de administração do Power Platform.

Atenção: Certifique-se de que outros ambientes excluídos desta política não serão afetados negativamente por esta alteração.		 Não adicione o novo ambiente a esta política.

O ambiente só precisa de ser adicionado a uma política do tipo "Vários ambientes" se estiver a ser excluído de uma política do tipo "Excluir, exceto ambientes" e não houver outras políticas que cubram o ambiente.

Se nenhuma política existente funcionar, considere se atualizar esta política para incluir os conectores pedidos no mesmo grupo é uma opção. Certificando-se de que os outros ambientes incluídos na lista de ambientes não serão afetados negativamente. Vá ao centro de administração do Power Platform para atualizar as regras de política.

Programador: Pedir uma Alteração de Política DLP

Os criadores podem utilizar o sistema de Pedido de Alteração de Política DLP para modificar a Política DLP aplicada aos ambientes onde são o administrador. Se for aprovada, isto permitirá ativar os conectores de que necessita nos ambientes em que trabalha.

  1. Abra a aplicação Criador – Pedido de Ambiente.
  2. Navegue para a página Pedidos de Alteração de Política de Dados utilizando a navegação à esquerda. Ecrã de Pedidos de Alteração de Política de Dados
  3. Selecione + Novo
  4. No campo "Ação Pedida", escolha a opção "Aplicar Política ao Ambiente".
  5. No campo "Política", selecione a política pretendida.
    1. Confirme se os conectores exigidos pelo seu ambiente estão na política clicando no ícone de informações junto do cabeçalho de campo. Confirme que os conectores necessários são permitidos por esta política.
  6. Escolha o ambiente onde aplicar esta política. Só serão selecionados ambientes dos quais é administrador.
    1. Se não vir nenhum ambiente na lista pendente, não tem uma função de administrador de ambiente em nenhum ambiente.
    2. Fornecer um motivo para o pedido. Por exemplo, ajuda a especificar os detalhes do seu projeto e os conectores de que necessita.
  7. Selecione Guardar para submeter o pedido.
  8. Se o administrador aprovar o pedido, a política será aplicada ao ambiente.

Admin: Aprovar ou negar um pedido de alteração de política DLP

Importante

Se um pedido de Alteração de Política DLP for aprovado no sistema, atualizará o estado para Aprovado, o que irá acionar um fluxo que aplica automaticamente a política selecionada ao ambiente indicado. Também eliminará o ambiente de todas as outras políticas que tenham um âmbito ambiental "incluir" e adicionará o ambiente a todas as políticas com um âmbito ambiental "excluir". Antes de utilizar as ferramentas de pedido de política DLP, certifique-se de que este processo se enquadra na sua configuração.

Configurar Políticas Partilhadas

Configure políticas de dados no Centro de Administração do Power Platform.

Nota

Siga as nossas melhores práticas para criar uma estratégia DLP.

Exemplo de Políticas DLP partilhadas que podem abordar diferentes níveis de grupos:

  • Produtividade (Aplicar a todos os ambientes, exceto) – Esta política destina-se a cobrir o ambiente padrão, ambientes de avaliação e todos os outros ambientes que não são cobertos pelos outros ambientes. Tem as regras mais restritivas.
  • Power User (Apply to multiple environments) – Disponível para ambientes individuais com regras ligeiramente menos restritivas do que a Produtividade.
  • Pro Dev (Apply to multiple environments) – Disponível para ambientes individuais com acesso à maioria dos conectores em comparação com o Power User e destina-se a usuários que são bem treinados e concordam com as políticas de segurança de dados da empresa que devem ser definidas com um reconhecimento de responsabilidade pelo uso.

Sincronizar Políticas partilhadas

Uma vez que os criadores não conseguem ver todas as políticas de dados, o sistema de pedidos facilita a apresentação dessas informações aos criadores através do Dataverse. O sistema sincroniza as políticas indicadas a partir do serviço Power Platform para uma tabela do Dataverse e os criadores podem ver as políticas que um admin lhes permite ver. Os criadores podem então pedir a aplicação dessas políticas partilhadas aos seus ambientes.

Para tornar visível uma Política DLP Partilhada para os criadores, a política precisa de ser criada como um registo no Dataverse.

  • Abra a aplicação Admin – Pedido de Ambiente.
  • Navegue para a página Políticas de dados na navegação à esquerda.
  • Selecione a política que pretende tornar visível para os criadores e, em seguida, selecione a opção Tornar visível na faixa Tornar as políticas partilhadas visíveis para os criadores.

Partilhar aplicações e instruções com criadores

  • Conceda aos seus criadores acesso à aplicação de tela Criador – Pedido de Ambiente e atribua-lhes o direito de acesso SR de Criador do Power Platform. Utilize um grupo do Microsoft Entra para facilitar a atribuição.
  • Forneça aos utilizadores instruções sobre como utilizar o sistema de pedidos.

Aprovar ou Rejeitar pedidos

Uma vez que os utilizadores tenham acesso e comecem a fazer pedidos, os admins podem ver esses pedidos na aplicação de tela Admin – Pedido de Ambiente.

Ver pedidos na aplicação Pedido de Ambiente de Admin

Para ver e responder a pedidos de Alteração de Política DLP:

  1. Abra a aplicação Admin – Pedido de Ambiente.
  2. Navegue para a página Pedidos de Alteração de Política utilizando a navegação à esquerda.
  3. Ver a lista de pedidos. Pode filtrar o pedido por estado utilizando o filtro de estado no lado direito da faixa. Ver a lista de pedidos
  4. Para ver o pedido mais detalhadamente, selecione um dos pedidos e clique na ação Detalhes na faixa.
  5. Para aprovar ou negar um pedido, filtre o estado "Pendente" e selecione um dos pedidos. Apenas os pedidos com o estado Pendente podem ser respondidos na aplicação.
  6. Uma vez selecionado um pedido, pode optar por "aprovar" ou "rejeitar" o pedido utilizando as ações na faixa.
    1. Se um pedido for aprovado, atualizará o estado para "Aprovado", o que irá acionar um fluxo que aplica automaticamente a política selecionada ao ambiente indicado. Também eliminará o ambiente de todas as outras políticas que tenham um âmbito ambiental "incluir" e adicionará o ambiente a todas as políticas com um âmbito ambiental "excluir". Certifique-se de que este comportamento se adequa aos requisitos de segurança da sua empresa antes de continuar. Uma vez concluída a automatização, o estado do pedido é definido como "Concluído" e o registo é desativado.
    2. Se o pedido for rejeitado, o estado do pedido é definido como "Rejeitado" e o registo é desativado.